Um grupo chinês de cibercriminosos conhecido como Smishing Triad está conduzindo uma ofensiva global com foco no roubo de credenciais bancárias. Ativo desde 2023, o grupo já atingiu alvos em pelo menos 121 países, usando campanhas de smishing (golpes por SMS) para enganar usuários com links maliciosos que levam a sites falsos, mas visualmente convincentes. As mensagens exploram temas urgentes, como problemas com entregas ou pagamentos pendentes, para induzir o clique.
Leia também
Email é o meio preferido no recebimento de alertas
Surto de ataques de phishing com QR codes
Inicialmente voltado a serviços postais e públicos, o grupo migrou seu foco para instituições financeiras, com destaque para o uso do novo kit de phishing chamado Lighthouse. Essa ferramenta, descoberta por analistas da Silent Push em março de 2025, representa um salto de sofisticação: ela permite a criação de sites falsos que replicam interfaces bancárias, com suporte a múltiplas formas de autenticação, como OTP, PIN e 3DS, além de atualizações automáticas e sincronização em tempo real.
O Smishing Triad opera de forma altamente organizada. Comunicações vazadas indicam a existência de mais de 300 operadores envolvidos globalmente, funcionando como uma verdadeira empresa do crime cibernético. Para escapar da detecção, o grupo alterna até 25 mil domínios em ciclos de apenas oito dias. A infraestrutura dos ataques é majoritariamente hospedada em serviços chineses como Tencent e Alibaba, o que dificulta ações coordenadas de remoção.
Entre os alvos específicos estão grandes instituições financeiras da Austrália, além de marcas globais como PayPal, Visa, Mastercard e HSBC. O código JavaScript associado ao kit Lighthouse revela parâmetros configurados para explorar autenticações de múltiplos fatores, elevando o risco mesmo para usuários mais cautelosos.
O avanço do Smishing Triad reforça o alerta para o crescimento da cibercrime como atividade organizada transnacional. Especialistas recomendam a desconfiança diante de mensagens urgentes que exigem cliques rápidos, a verificação direta com instituições envolvidas e o uso de autenticação multifatorial segura, além de soluções de segurança que consigam detectar domínios recém-criados.
